7
Extrem viele Fehlüberwachungen Fehlgeschlagene Anmedung auf Proxy, DSL mit fester IP
Hi Leute.
Seit einigen Tagen fällt immer unser Proxy Server aus. Nach einem Neustart gehts dann wieder. Im Sicherheits - Log finde ich dann immer jede Menge fehlgeschlagene Anmeldungen. Diese sehen so aus
Dabei ändert sich der Benutzername öfters. Name der Arbeitstation ist die vom Proxy selber.
Für mich sieht das nach einem Angriff aus. 3 Virenscanner durchgejagt ohne befund. Windows Firewall ist angeschalten. Überlege mir die Comodo drauf zu machen.
Was kann ich unternehmen oder wie würdet ihr vorgehen? Problem ist auch der Router hat ne feste IP Aderesse.
Zum Aufbau.
Keller Fritzbox 192.168.178.xxx
Oben Proxy (WinXP mit Ken) 192.168.178.xxx + 10.0.6.xxx
Dahinter ein DNS und ein Backupserver 10.0.6.xxx
Ebenfalls dahinter viele Clients 10.0.22.xxx
Gruß Maddoc
Seit einigen Tagen fällt immer unser Proxy Server aus. Nach einem Neustart gehts dann wieder. Im Sicherheits - Log finde ich dann immer jede Menge fehlgeschlagene Anmeldungen. Diese sehen so aus
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: 123
Domäne: meineDomäne
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: ProxyPcName
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: 123
Domäne: meineDomäne
Anmeldetyp: 10
Anmeldevorgang: User32
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: ProxyPcName
Dabei ändert sich der Benutzername öfters. Name der Arbeitstation ist die vom Proxy selber.
Für mich sieht das nach einem Angriff aus. 3 Virenscanner durchgejagt ohne befund. Windows Firewall ist angeschalten. Überlege mir die Comodo drauf zu machen.
Was kann ich unternehmen oder wie würdet ihr vorgehen? Problem ist auch der Router hat ne feste IP Aderesse.
Zum Aufbau.
Keller Fritzbox 192.168.178.xxx
Oben Proxy (WinXP mit Ken) 192.168.178.xxx + 10.0.6.xxx
Dahinter ein DNS und ein Backupserver 10.0.6.xxx
Ebenfalls dahinter viele Clients 10.0.22.xxx
Gruß Maddoc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 213049
Url: https://administrator.de/contentid/213049
Printed on: April 19, 2024 at 23:04 o'clock
7 Comments
Latest comment
Hi Maddoc,
das sieht schon nach Angriffsversuchen aus. Ich hatte mal ähnliche Probleme bei einem Terminaldienst, der nach aussen hin offen war. Jeden Tag kamen dort ca. 1000 Anmeldeversuche rein. Das viel mir auf, weil sich unser Backup-Dienstkonto jede Nacht gesperrt hatte (mehr als 10 Versuche in kurzer Zeit)
Problematisch sind jedoch nicht die fehlgeschlagenen Anmeldeversuche, sondern die erfolgreichen.
Meine kurfristige Lösung damals bestand darin, die Quell-IP Adressen in der Firewall zu sperren.
Später dann haben wir eine zwei Faktor Authentifizierung eingeführt für die Mitarbeiter und den Terminaldienst nicht mehr von aussen zugänglich gemacht.
Welche Dienste hast Du nach Außen hin offen? Kannst Du die Möglichkeit der Anmeldung auch nach Außen hin unterbinden? Eventuell VPN voraussetzen?
Grüße
Ben.
PS: die Anmeldeversuche erklären noch nicht, warum der Server ausfällt, es sei den, es wird gezielt ein DoS gefahren und der Server kann die vielen Anfragen nicht mehr abarbeiten. Hast Du ein Monitoring der Serverleistung?
das sieht schon nach Angriffsversuchen aus. Ich hatte mal ähnliche Probleme bei einem Terminaldienst, der nach aussen hin offen war. Jeden Tag kamen dort ca. 1000 Anmeldeversuche rein. Das viel mir auf, weil sich unser Backup-Dienstkonto jede Nacht gesperrt hatte (mehr als 10 Versuche in kurzer Zeit)
Problematisch sind jedoch nicht die fehlgeschlagenen Anmeldeversuche, sondern die erfolgreichen.
Meine kurfristige Lösung damals bestand darin, die Quell-IP Adressen in der Firewall zu sperren.
Später dann haben wir eine zwei Faktor Authentifizierung eingeführt für die Mitarbeiter und den Terminaldienst nicht mehr von aussen zugänglich gemacht.
Welche Dienste hast Du nach Außen hin offen? Kannst Du die Möglichkeit der Anmeldung auch nach Außen hin unterbinden? Eventuell VPN voraussetzen?
Grüße
Ben.
PS: die Anmeldeversuche erklären noch nicht, warum der Server ausfällt, es sei den, es wird gezielt ein DoS gefahren und der Server kann die vielen Anfragen nicht mehr abarbeiten. Hast Du ein Monitoring der Serverleistung?
Zitat von @maddoc:
Für mich sieht das nach einem Angriff aus. 3 Virenscanner durchgejagt ohne befund.
Für mich sieht das nach einem Angriff aus. 3 Virenscanner durchgejagt ohne befund.
Für mich auf, aber was soll ein virenscanner auf dem proxy da machen, wenn der verbindungsaufbau doch legitim ist (auch wenn die authentifizierung klappt).
Windows Firewall ist angeschalten.
Überlege mir die Comodo drauf zu machen.
Überlege mir die Comodo drauf zu machen.
Das bringt auf dem proxy gar nichts, weil doffensichtlich die verbindung auf den proxy erlaubt ist.
du solltest lieber einen sniffer wie z.B. wireshark laufen lassen, um zu schauen, woher diese anmeldeversuche kommen.
lks
Hi,
Willkommen im Internet. Sobald ein Dienst nach außen verfügbar ist, wirst du mit BruteForce-Anmeldeversuchen konfrontiert sein. Es gibt genug neugierige Scriptkiddies die einfach mal ein "paar" (üblicherweise gleich mal 100e oder 1000e) Username/Passwort Kombinationen ausprobieren. Abhilfe gibt es da keine wirkliche. Mit sicheren Passwörtern und aktuell gepatchter Software sollte das jedoch nur wenig Probleme machen. Wenn dir die Log-Einträge zu viel werden, ändere den Standartport.
mfg
Cthluhu
Willkommen im Internet. Sobald ein Dienst nach außen verfügbar ist, wirst du mit BruteForce-Anmeldeversuchen konfrontiert sein. Es gibt genug neugierige Scriptkiddies die einfach mal ein "paar" (üblicherweise gleich mal 100e oder 1000e) Username/Passwort Kombinationen ausprobieren. Abhilfe gibt es da keine wirkliche. Mit sicheren Passwörtern und aktuell gepatchter Software sollte das jedoch nur wenig Probleme machen. Wenn dir die Log-Einträge zu viel werden, ändere den Standartport.
mfg
Cthluhu
Hi Leute,
die Virenscanner hatte ich laufen da die Anmeldung von der Maschine selber kommen und ich evl an einen Trojaner etc dachte. Das mit der IP ist eine Idee aber im besten falle bekommt das Scriptkiddie jeden Tag ne neue vom DSL Anbieter. Passwörter sind relativ sicher, aber so nach 1000 versuchen steigt der Proxy immer aus. Nach außen Hin ist auch nur ein Port offen. Port 3389, alle anderen verdächtigen sind geschlossen. Wireshark ist ne Idee, aber mit netstat hatte ich letztens nichts entdecken können. Müsste man aber auch den Punkt erwischen wo so ein Angriff stattfindet. PS Port 58183 UDP & TCP ist per UPnP geöffnet ..
die Virenscanner hatte ich laufen da die Anmeldung von der Maschine selber kommen und ich evl an einen Trojaner etc dachte. Das mit der IP ist eine Idee aber im besten falle bekommt das Scriptkiddie jeden Tag ne neue vom DSL Anbieter. Passwörter sind relativ sicher, aber so nach 1000 versuchen steigt der Proxy immer aus. Nach außen Hin ist auch nur ein Port offen. Port 3389, alle anderen verdächtigen sind geschlossen. Wireshark ist ne Idee, aber mit netstat hatte ich letztens nichts entdecken können. Müsste man aber auch den Punkt erwischen wo so ein Angriff stattfindet. PS Port 58183 UDP & TCP ist per UPnP geöffnet ..
Frage: wieso muss ein Proxy den Port 3389 in Richtung Internet offen haben?
Wenn Du keinen unternehmenswichtigen Dienst (also für die Mitarbeiter) nach draußen breitstellen musst, dann mache doch 3389 zu! Du als Admin kannst doch die Möglichkeit nutzen, ein VPN etc vorher aufzubauen.
Wenn Du keinen unternehmenswichtigen Dienst (also für die Mitarbeiter) nach draußen breitstellen musst, dann mache doch 3389 zu! Du als Admin kannst doch die Möglichkeit nutzen, ein VPN etc vorher aufzubauen.
Zitat von @maddoc:
Nach außen Hin ist auch nur ein Port offen. Port
3389, alle anderen verdächtigen sind geschlossen.
Nach außen Hin ist auch nur ein Port offen. Port
3389, alle anderen verdächtigen sind geschlossen.
Das ist nicht gut. RDP-Sitzungen macht man normalerweise mit VPN. Oder benutzt du zertifikate zur Authentifikation bei RDP?
Wireshark ist ne Idee, aber mit netstat hatte ich letztens nichts entdecken
können. Müsste man aber auch den Punkt erwischen wo so ein Angriff stattfindet. PS Port 58183 UDP & TCP ist per UPnP
geöffnet ..
können. Müsste man aber auch den Punkt erwischen wo so ein Angriff stattfindet. PS Port 58183 UDP & TCP ist per UPnP
geöffnet ..
UPnP ist ein no-go. Damit bohrt Dir jeder kleine Wurm sofort ein Loch in Deinen schönen Router. Mach manuell die Ports auf, die Du unbedingt brauchst udn wo Du kein VPN verwenden kannst.
lks
Kanns nicht sagen warum der Port offen war. War von meinem Vorgänger. Wird eh nicht mehr verwendet da nun Teamviewer läuft. habe ihn zugemacht und gucke da, seit dem ist ruhe. Will aber den Tag nicht vor dem Abend loben, erstmal sehen was heute nacht so abgeht. Meistens waren die Angriffe zu nächtlicher Stunde. Den anderen Port habe ich auch geschlossen. War zu einer IP weitergeleitet die gar nicht existierte, zumindest nicht an war..
Danke euch allen, schauen wir mal wie es weiter geht..
Gruß Maddoc
Danke euch allen, schauen wir mal wie es weiter geht..
Gruß Maddoc
